yuk ransomware đã hoạt động từ tháng 8 năm 2018 và đã nhắm mục tiêu vào một số tổ chức lớn, đòi hỏi tiền chuộc cao. Bây giờ, các tác giả đằng sau nó đã làm cho nó trở nên nguy hiểm hơn bằng cách truyền đạt những đặc điểm mới cho nó. Theo báo cáo của Bleeping Computer, Ryuk ransomware, hiện tại, sử dụng tính năng Wake-on-Lan để bật tắt các thiết bị trên mạng bị xâm nhập.
Wake-on-Lan là một tính năng phần cứng bật thiết bị ngoại tuyến trong mạng bằng cách gửi tin nhắn mạng. Tính năng này thường được các quản trị viên mạng sử dụng để đẩy các bản cập nhật hoặc hoàn thành các tác vụ đã được lên lịch khi thiết bị bật.
Một phân tích của Head of SentinelLabs, Vitali Kremez, cho thấy rằng khi Ryuk ransomware được thực thi, nó sẽ sinh ra các quy trình con với đối số8 Lan liên.
Quá trình sinh sản với 8 Đối số Lan (Nguồn: Máy tính Bleeping)Khi thực hiện 8 Đối số Lan, phần mềm độc hại quét bảng Thiết bị nhắm mục tiêu Nghị định thư (ARP) của thiết bị được nhắm mục tiêu lưu trữ thông tin về địa chỉ IP và địa chỉ MAC tương ứng. Nó kiểm tra xem các mục nhập có liên quan đến các mạng con địa chỉ IP riêng của không, 10.,, 172.16, và 192.168.
2020-01-12: #Ryuk #Ransomware | #Đăng ký
(PET PLUS PTY LTD) #DigiCert
1⃣Build: Tháng 1 9Năm 2020
2⃣ Chuỗi mới hơn Obfuscation
3ExArArg thực thi -e mã hóa & 8 LAN là "lan.exe"
4Same Wake-on-LAN (WOL) gói 172.16 & 192.168
Tham chiếu -> https://t.co/jdsR62ph0g
h / t @malwrhunterteam pic.twitter.com/6Ec9AK7bWc– Vitali Kremez (@VK_Intel) ngày 12 tháng 1 năm 2020
Nếu kết quả là dương tính, Ryuk đánh thức thiết bị bằng cách gửi gói Wake-on-Lan (WoL) đến địa chỉ MAC. Sau khi yêu cầu WoL thành công, Ryuk sẽ gắn kết thiết bị quản trị của C C $. Nếu chia sẻ được gắn kết thành công, Ryuk mã hóa ổ đĩa máy tính.
Ryuk gửi gói WoL (Nguồn: Bleeping Computer)Nói với Bleeping Computer, Vitali Kremez nói:Đây là cách nhóm điều chỉnh mô hình ransomware trên toàn mạng để tác động đến nhiều máy hơn thông qua nhiễm trùng đơn lẻ và bằng cách tiếp cận các máy thông qua WOL & ARP. Nó cho phép tiếp cận nhiều hơn và ít bị cô lập hơn và thể hiện kinh nghiệm của họ đối phó với môi trường công ty lớn.
Để tránh một cuộc tấn công từ Ryuk ransomware, các quản trị viên mạng được khuyến nghị chỉ cho phép các gói Wake-on-Lan từ các thiết bị được ủy quyền.
